Google Hacking 








“Eu penso que ele está pronto para começar a usar o computador. 
Ele acabou de dizer 'Google!” 





Objetivos 


Entender o que é Google Hacking 
Conhecer os riscos que o Google traz 


Aprender como usar o Google como ferramenta 
auxiliar para um pentest 


Conhecer os principais comandos do Google 


Aprender como encontrar buscas pre definidas, 
utilizando o GHD 





O que é Google Hacking? 


Google Hacking é a atividade de usar recursos de busca do site, 
visando atacar ou proteger melhor as informações de uma 
empresa. 


As informações disponiveis nos servidores web da empresa 
provavelmente estarão nas bases de dados do Google. 


Um servidor mal configurado pode expor diversas informações da 
empresa no Google. Não é dificil conseguir acesso a arquivos de 
base de dados de sites atraves do Google. 





Google Cache 


e O Google armazena por um periodo versões anteriores de qualquer 
site que tenha algum dia sido indexado por seu robô de busca. 


e Isso possibilita termos acesso a informações que tenham sido 


retiradas na versão mais atual do site, e que possam ser, de alguma 
maneira, sensiveis. 





Web imagens Vídeos Mapas Notícias Orkut Gmail mais v 


Google 4linux | Pesquisar | 


Aproximadamente 36.100 resultados (0,26 segundos) 




















Pesquisa avançada 


“8 Tudo 4Linux - Linux, Software Livre, Cursos, Treinamento, Consultoria ... 77 
”| Mais A 4Linux oferece cursos de Linux, EaD, consultoria em software livre além de suporte e 


desenvolvimento com equipe 24x7 em todo Brasil. 
www 4linux.com ..br/ - Em cache - Similares 


A web Cursos Cursos com padrão IBM de qualidade 

Páginas em Fale Conosco Metodologia de Ensino à distância ... 
português Empresa Consultoria 

Páginas de Brasil Participe das promoções da 4Linux... Eventos 


* Mais ferramentas Mais resultados de 4linux.com.br » 





Comandos Avançados do Google 


intitle, allintitle e link 
inurl, allinurl * inanchor 
e daterange 
filetype 

e cache 
allintext 

e info 
site 


e related 








Levantamento de Informações 


O Google é a principal ferramenta para o levantamento de informações de nosso alvo. 


Por isso, vamos definir um alvo específico, e buscar toda infomação possivel de 
conseguir através do Google sobre o mesmo. VAMOS À PRÁTICA! 


Dica: tente a busca “currículo + identidade + cpf”, sem as aspas. Você ja ouviu falar de 
“laranjas”? Então... 


Google Hacking Database: 
“http://johnny.ihackstuff.com/ghdb/ 


*Vamos testar algumas tags do GHD e ver que tipo de informação conseguimos. 


OYS 


ACADEMY 





Mais prática... 


site:gov.br ext:sd| 

inurl:"powered by" site:sistema.com.br 
inurl:e-mail filetype:mdb 

intitle:VNC inurl:çãoo intitle:VNC 

"Active Webcam Page" inurl:8080 
intitle:"toshiba network camera - User Login" 


intitle:"Flash Operator Panel" -ext:php -wiki -cms -inurl:as 
“Microsoft-IIS/6.0” intitle:index.of 








Contramedidas 


Possuir uma boa politica referente à publicações de informações na 
internet. 


Não deixar configurações padrão em servidores web, para que os mesmos 
não consigam ser identificados facilmente. 


Sempre analisar as informações disponíveis sobre a empresa em sites de 
busca. 


Alertar e treinar os funcionários da empresa com relação a maneira com 
que um ataque de engenharia social pode acontecer, e as possiveis 
informações que o atacante podera usar nesse ataque. 





OYS 


ACADEMY 





"Alguém conseguiu meu número de Segurança Social na internet 
e roubou minha identidade. Obrigado Deus - Odeio ser eu mesmo!” 





